flyinweb's blog

=========================================
常见 iptables 的 firewall 设定配置问题
作者： 小州 (kenduest)
=========================================

一、标题列表项目:  (一般本机的 firewall 配置问题)

1. 如何查询我目前 iptables 的配置组态设定 ?
2. 如何关闭 Linux Distro 本身的 firewall 配置并让规则清空不启用？
3. 关于 RedHat 9, Fedora 与 RHEL 的 firewall 配置问题
4. 如何使用手动方式清空与重置 iptables firewall rule？
5. iptables firewall 本身封包比对判断流程图为何？
6. iptables firewall 本身封包比对规则方式为何？
7. 使用 -P INPUT DROP 引起的主機本身對外連線不通问题？
8. 使用 -P INPUT DROP 导致本机存取自己服务也受到限制？
9. 使用 -P INPUT DROP 引起的网路存取正常，但是 ftp 连入却失败？
10. 使用 -P OUTPUT DROP 引起的网路不通问题？
11. 有无建议本机 firewall 服务只有开放对外项目，其余禁止的配置方式？

二、标题列表项目:  (提供 NAT 服务配置问题)

1. 一般建议单纯化的 NAT 服务配置语法为何？
2. 透过 NAT 上网的内部 ip 主机，ftp 连结存取错误？
3. 如何配置连线到 NAT 主机某个对外 Port 时，可以转送到内部某主机？
4. 使用 -j MASQUERADE 与 -j SNAT 于 NAT 使用差异 ?

有做防火墙，最后，FTP正常连接，不过无法列表，获取数据，通过配置FTP服务器被动模式端口，然后防火墙添加端口可以解决，另外，可以通过以下方式解决：

netfilter/iptables 是与最新的 2.4.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因 特网或 LAN、服务器或连接 LAN 和因特网的代理服务器，则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 Mugdha Vairagade 将介绍 netfilter/iptables 系统、它是如何工作的、它的优点、安装和配置以及如何使用它来配 置 Linux 系统上的防火墙以过滤 IP 信息包。
注：至少具备 Linux OS 的中级水平知识，以及配置 Linux 内核的经验，将有助于对本文的理解。

对于本文，我们将使用 iptables 用户空间工具版本 1.2.6a 和内核版本 2.4.9。

Linux 安全性和 netfilter/iptables
Linux 因 其健壮性、可靠性、灵活性以及好象无限范围的可定制性而在 IT 业界变得非常受欢迎。Linux 具有许多内置的能力，使开发人员可以根据自己的需要定 制其工具、行为和外观，而无需昂贵的第三方工具。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器，所要用到 的一种内置能力就是针对网络上 Linux 系统的防火墙配置。可以在 netfilter/iptables IP 信息包过滤系统（它集成 在 2.4.x 版本的 Linux 内核中）的帮助下运用这种能力。 

在如 ipfwadm 和 ipchains 这样 的 Linux 信息包过滤解决方案中，netfilter/iptables IP 信息包过滤系统是最新的解决方案，而且也是第一个集成 到 Linux 内核的解决方案。对于 Linux 系统管理员、网络管理员以及家庭用户（他们想要根据自己特定的需求来配置防火墙、在防火墙解决方案上 节省费用和对 IP 信息包过滤具有完全控制权）来说，netfilter/iptables 系统十分理想。